Qu’est-ce qu’un certificat SSL ?

Le SSL, c’est quoi ?

Développé par l’entreprise américaine Netscape au milieu des années 1990, le SSL (pour Secure Socket Layer = couche de sockets sécurisée) repose sur un procédé de cryptographie par clé publique. Il permet de sécuriser les échanges d’informations entre des appareils reliés à un réseau interne ou à Internet.

Malgré la dépréciation du protocole SSL et l’adoption du TLS (Transport Layer Security) en 1999, le terme ‘SSL’ est encore largement utilisé pour faire référence à ce type de technologie.

Avant aout 2020, on repérait assez facilement sa présence grâce à l’affichage d’un petit cadenas dans la barre d’adresse qui devenait verte lorsque les informations étaient sécurisées.

certificat ssl

Mais pourquoi devoir se protéger ?

Les données transférées entre le navigateur web et le serveur web ou entre d’autres terminaux rendent le protocole « http » vulnérable aux attaques des pirates informatiques qui pourraient intercepter certaines données confidentielles. Mais lorsque des données sont envoyées via un navigateur qui utilise le protocole « https », le SSL garantit que celles-ci seront chiffrées et protégées contre toute interception. Le « s » signifiant donc « sécurisé ».

Les certificats numériques utilisent les protocoles SSL/TLS destinés à garantir la sécurité de la connexion Internet. Mais aussi la protection de ces données sensibles et les informations relatives aux cartes de crédit par exemple.

Ils permettent également d’améliorer votre classement sur Google, de renforcer la confiance des clients et d’améliorer les taux de conversion.

Dois-je donc faire installer un certificat SSL ?

De manière générale, toute personne ou entreprise intéressée par la sécurité des échanges entre le navigateur de l’utilisateur et les serveurs devrait installer un certificat SSL afin de se protéger contre les hackers et autres fraudeurs en ligne.

Où puis-je obtenir des certificats SSL ?

Les certificats SSL doivent être émis par une autorité de certification de confiance. Pour que le SSL soit considéré comme fiable, le certificat racine doit être présent sur la machine de l’utilisateur final. Si le certificat n’est pas reconnu, le navigateur affichera des messages d’alerte indiquant qu’il ne faut pas lui faire confiance.

Sur les sites de e-commerce, de tels messages d’alerte inquiètent les visiteurs. Les organisations risquent alors de perdre la confiance d’un grand nombre de consommateurs, et de voir leur chiffre d’affaires diminuer.

Plus le nombre d’applications, d’appareils et de navigateurs intégrant la racine d’une autorité de certification augmente, plus la réputation de ces certificats SSL se renforce.

Quel certificat SSL choisir ?

Sur la base de leur procédure de vérification ou de contrôle, les certificats SSL peuvent être classés en trois catégories :

  • les certificats à validation de domaine (DV) ;
  • les certificats à validation d’organisation (OV) ;
  • les certificats à validation étendue (EV).

Certificats SSL à validation étendue (EV)

L’autorité de certification (AC)  vérifie que l’organisation en question possède le droit exclusif d’utilisation du nom de domaine et soumet celle-ci à un audit très approfondi. Depuis 2007, les règles du CA/B Forum définissent les étapes strictement obligatoires que doivent suivre les AC afin de pouvoir émettre un certificat SSL à validation étendue.

Ces étapes comprennent :

  • la vérification de l’existence légale, physique et opérationnelle de l’organisation ;
  • la vérification de l’exactitude des informations transmises sur l’organisation (adresse, n° de téléphone) par rapport aux registres officiels ;
  • la vérification du droit exclusif d’utilisation du nom de domaine spécifié dans la demande de certificat EV SSL par l’organisation en question ;
  • la vérification de l’accord de l’organisation pour l’émission du certificat.

Certificats SSL à validation de l’organisation (OV)

L’autorité vérifie que l’organisation en question possède le droit exclusif d’utilisation du nom de domaine pour lequel elle souhaite recevoir le certificat et soumet celle-ci à certaines vérifications. Les informations vérifiées apparaissent également dans le sceau du site sécurisé, pour une confiance accrue de la part des visiteurs. Le nom de l’organisation apparait également dans le certificat sous le champ ON.

Certificats SSL à validation de domaine (DV)

L’autorité vérifie que l’organisation en question possède le droit exclusif d’utilisation du nom de domaine pour lequel elle souhaite recevoir le certificat. L’identité de l’entreprise ne fait l’objet d’aucune vérification particulière. Aucune information n’apparait donc dans le sceau de site sécurisé, mis à part les informations relatives au chiffrement. Vous avez la garantie que vos informations sont chiffrées. Toutefois vous ne pouvez pas être certain de savoir qui est réellement le destinataire de ces informations.

Le certificat DomainSSL est reconnu et affiche les mêmes symboles de sécurité que le certificat OrganizationSSL au niveau du navigateur. Il a l’avantage majeur de pouvoir être émis presque simultanément, sans devoir soumettre de documents spécifiques relatifs à l’entreprise. DomainSSL est le certificat idéal pour les entreprises ayant besoin, rapidement, d’un certificat SSL pas cher et sans contraintes administratives.